Wo liegt das Problem? Bei der Arbeit in der Praxis arbeiten Sie mit den Daten Ihrer Patient*innen. Wie Sie wissen, sind solche Daten im Sinne des Datenschutzes besonders zu schützen. Sie sind damit unter anderem verpflichtet, das Risiko eines unbefugten Zugriffs auf diese Daten auszuschließen, beziehungsweise so weit wie möglich zu minimieren. Ab dem 14.10.2025 wird Microsoft für Windows 10 keinen Support mehr geben, es erfolgen also auch keine Updates mehr und damit auch keine Fehlerbeseitigungen (Patches), die für die Datensicherheit relevant sind. Ohne solche Updates kann Schadsoftware zum Beispiel über den Browser, E-Mails oder USB-Sticks auf den Rechner gelangen. Dadurch kann es zu einem Zugriff Unbefugter auf die Patientendaten oder zum Beispiel auch zum Systemausfall kommen. Damit wäre ein Verstoß gegen die Datenschutzgesetze* verbunden, wenn Sie nicht entsprechende zumutbare Vorsorgemaßnahmen ergriffen haben.

Wenn Sie in Ihrer Praxis bei dem Betriebssystem von Microsoft bleiben möchten, kommen Sie also in 2025 um Windows 11 nicht mehr herum. Dummerweise ist Windows 11 nicht wirklich mit den Datenschutzvorgaben kompatibel, was übrigens auch für das Office-System MS 365 gilt. Das liegt im Wesentlichen an dem vermehrten Einsatz von Künstlicher Intelligenz (K)I in dieser Version. Damit gehen nicht nur mehr Funktionen einher, sondern es können auch jede Menge Daten von Microsoft abgegriffen werden. Zusätzlich kann Microsoft weiterhin nicht gewährleisten, dass eine Weitergabe der Daten auf den EU-Raum, in dem strengerer Datenschutz als anderswo herrscht, beschränkt bleibt. Leider ist es selbst für professionelle Datenschutzrechtler schwer zu überblicken, welche durch die EU angeforderten datenschutzrechtlichen Maßnahmen mit welchen Ausnahmen und mit welchen Einschränkungen von Microsoft aktuell umgesetzt sind.

Dennoch müssen Sie als Praxisinhaber*in, wenn Sie Windows nutzen möchten, das Problem für das Tagesgeschäft angemessen lösen. Dazu benötigen Sie entweder ein anderes Betriebssystem, das ebenfalls technische und/oder datenschutzrechtliche Haken und Ösen haben kann. Oder Sie nutzen zumindest die Möglichkeiten, die den Datenschutz bei Windows 11 zumindest verbessern können und dokumentieren Ihre Maßnahmen in Ihrer Praxisdokumentation zum Datenschutz im Sinne von Art. 25 DSGVO bei den technischen und organisatorischen Maßnahmen, also auf Ihrer sogenannten „TOM-Liste“.

Es gibt insofern also nicht nur rechtliche, sondern auch technische Anforderungen. Dieser Beitrag soll im Wesentlichen als Sensibilisierung für das Thema aus datenschutzrechtlicher Sicht dienen. Zu möglichen IT-Lösungen wird es hier lediglich ganz allgemeine Denkanregungen geben und auf ein paar Links zum Thema als mögliche erste Informationsquellen hingewiesen. Für weitergehenden technischen Klärungsbedarf sollten Sie einen spezialisierten IT-Berater befragen.

Was ist zu tun? Wenn Sie sich dazu entscheiden, Windows 11 für Ihre Praxisarbeit zu nutzen oder bereits im Einsatz haben, sind ein paar datenschutzrechtliche Maßnahmen erforderlich:

• Sie benötigen für das konkrete Betriebssystem einen Vertrag zur Datenauftragsverarbeitung (VVA) mit Microsoft im Sinne von Art. 28 DSGVO (sollte heruntergeladen werden können **).

• • Erläuterungen dazu, was eine VVA ist, finden Sie zum Beispiel hier: https://www.datenschutzexperte.de/blog/vertrage-zur-auftragsverarbeitung-av-vertrage

• Außerdem sollten Sie unbedingt ein paar Funktionen konfigurieren, beziehungsweise Voreinstellungen überprüfen, gegebenenfalls anpassen und Ihre Datenschutzdokumentation entsprechend ergänzen. Schauen Sie sich vor allem folgende Funktionen an:
  • Verwendung von Standortdaten
  • "Diagnosedaten“
  • „Freihand und Eingabe verbessern“
  • „Gestalten Sie Ihre Benutzererfahrung individuell“
  • Standard-Browser: Edge sammelt Unmengen von Daten, also lieber ändern

• Achten Sie auch auf die Funktion „Recall“. Mittlerweile hat Microsoft diese zwar standardmäßig deaktiviert. Wenn Sie Windows 11 jedoch schon länger auf Ihrem Rechner haben, überprüfen Sie bitte, ob diese Funktion bereits abgeschaltet war. Welche Folgen die Aktivierung dieser Funktion hat/haben kann, worauf geschaut werden muss und wie individuelle Anpassungen umgesetzt werden können, kann zum Beispiel unter folgendem Link nachgeschaut werden: https://www.datenschutz-notizen.de/datenschutzrechtliche-risiken-der-neuen-windows-funktion-recall-1050402/

Beachten Sie bei der Konfiguration, dass sich die individuellen Möglichkeiten zur Deaktivierung von Funktionen bei den angebotenen Windows-11-Editionen unterscheiden. Da die geringsten Konfigurationsmöglichkeiten bei der „Home Edition“ bestehen, eignet sich diese Version datenschutzrechtlich eher nicht für den Gebrauch im Arbeitsbereich der Praxis. Daher sollten Sie sich die Windows 11 „Pro Edition“ anschauen, bei der ausreichende Einstellungen zur Übertragung von personenbezogenen Daten möglich sind.

Falls Sie Office, beziehungsweise MS 365 nutzen, denken Sie daran, die Dienste auf ein notwendiges Maß zu reduzieren. Denn überwiegend wird auch MS 365 aktuell für nicht datenschutzkonform gehalten. Anregungen dazu, worüber Sie nachdenken sollten und welche Konfiguration geeignet sein kann, finden Sie zum Beispiel unter dem LINK: https://www.dr-datenschutz.de/datenschutz-microsoft-365-dsgvo-konformer-einsatz-moeglich/

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat noch keine konkreten Konfigurationsempfehlungen speziell zu Windows 11 herausgegeben. Damit ist aber voraussichtlich Anfang kommenden Jahres zu rechnen. Mit dem genannten Vorgehen sollten Sie jedoch zunächst den wesentlichen technisch zumutbaren und geeigneten Maßnahmen nachgekommen können.

Wenn Sie sich jedoch hinsichtlich der datenschutzrechtlich noch nicht geklärten Handhabung zum KI-Einsatz etwas mehr absichern möchten, könnten Sie eine freiwillige Risikoabschätzung in Ihre Dokumentation aufnehmen. Denn mit dem Einsatz von KI-Anwendungen wird oftmals von der Folge eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung personenbezogener Daten ausgegangen. Grundsätzlich ist dann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Da Sie (in der Regel) ein sogenanntes „Kleinstunternehmen“ betreiben, sind Sie zu einer solchen Einschätzung nicht verpflichtet. Sie könnten zu Ihrer Absicherung jedoch eine „kleine“ freiwillige DSFA in Ihre Datenschutzdokumentation aufnehmen. Damit zeigen Sie, dass Sie sich über mögliche Risiken Gedanken gemacht haben, was letztlich gewünscht ist und sich daher im Zweifelsfall positiv auswirken und Sie vor einem Bußgeld bewahren kann. Dazu müssten Sie das in Ihrer Verwendung mögliche Risiko für einen Missbrauch der Patienten-Daten einschätzen. Hieran sollten aufgrund des geringen Ausmaßes Ihres Unternehmens keine großen Erwartungen gestellt werden. Wenn das Risiko gering sein sollte, was anzunehmen ist, und Sie alle für Sie möglichen und üblichen Maßnahmen ergriffen haben, könnten Sie diese Überprüfung mit einem zusammenfassenden Satz abschließen. Zum Beispiel: „Im Zuge der freiwilligen und mir möglichen Datenschutz-Folgenabschätzung im Sinne des Artikel 33 DSGVO habe ich dem festgestellten Datenschutz-Risiko entsprechende technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung entgegengestellt (diese - siehe oben - müssen natürlich benannt sein, um darauf verweisen zu können). Die verbleibenden Risiken lassen sich auf einem als üblich angesehenen tragbaren Niveau einordnen.“

Möglicherweise wird sich in 2025 die eine oder andere Klärung und damit Vereinfachung zur Handhabung von Windows 11 und MS 365 ergeben, denn es wird umfangreiche Anmerkungen vom Datenschutz zur KI- Verordnung der EU geben. Bleiben Sie aufmerksam und informieren Sie sich gegebenenfalls auch bei IT-Spezialisten.

Anmerkungen
* Anforderungen der Datenschutzgesetze vor allem die Europäische Datenschutz-Grundverordnung (DSGVO) oder dem Bundesdatenschutzgesetz (BDSG).
** siehe ggf. auch: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=14) bzw. https://data-protection-service.de/aktuelles2/157-microsoft-und-der-auftragsverarbeitungsvertrag-av-vertrag-wo-zu-finden

Bettina Henkel, VKHD-Beirätin